Todos los usuarios que hayan actualizado sus páginas web a las extensiones de Front Page 2000 habrán dejado su web vulnerable para que sea abierta, modificada, o incluso suprimida por cualquier persona sin necesidad de introducir la password.
Si se realiza una instalación o actualización por defecto de Front Page 2000, todos los webs que se creen con la instalación por defecto serán vulnerables. Cada web Front Page creado con la configuración por defecto asigna los permisos para Front Page de forma idéntica, con una diferencia principal que radica en el nombre de usuario o grupo que posee los derechos de administración.
El problema se puede evidenciar al crear un nuevo web Front Page y asignar la cuenta Test como autor y administrador principal. Tras ello, se abre el web con Front Page 98 y en el menú herramientas, en la opción permisos se visualiza la cuenta MYDOMAINTest como autor principal y administrador. Pero si se visualizan los grupos se encuentran los siguientes como Administradores/Autores :
CREATOR OWNER
MYDOMAINADMINISTRATORS
MYDOMAINAUTHENTICATED USERS
Todo parece normal excepto MYDOMAINAUTHENTICATED USERS. Pero lo m s extra_o es que en el administrador de usuarios para dominios no aparece ningon grupo llamado AUTHENTICATED USERS bajo MYDOMAIN.
Despu’s de estas comprobaciones se puede abrir el web desde Front Page como administrador y observar como lo abre correctamente sin preguntar por el nombre de usuario y password. Esto es de esperar ya que emplea la cuenta de entrada en el sistema para la autentificaci¢n. Si se emplea la cuenta de administrador no habr ningon problema.
Pero tras esto, se puede crear otra cuenta con cualquier otro nombre, por ejemplo Frontpage. Esta cuenta no tiene por que tener ningon permiso especial. Se tratar de una cuenta normal que no tiene por que tener permiso para abrir el web Front Page. Si los permisos funcionasen correctamente s¢lo los administradores y MYDOMAINTest deber¡an ser capaces de abrir el web anteriormente creado ya que fue espec¡ficamente configurado para ello. Sorprendentemente al entrar en el sistema como Frontpage se puede llegar a abrir, modificar y borrar todo el web.
Se puede ir incluso m s lejos, si desde cualquier instalaci¢n de Front Page 98 se intenta abrir un web actualizado previamente a Front Page 2000, se puede realizar la acci¢n sin necesidad de introducir ningon tipo de nombre de usuario o password. Adem s una vez que se realiza la conexi¢n se poseen permisos para modificar y borrar todo el web.
La ra¡z del problema radica en la asignaci¢n por defecto del grupo MYDOMAINAuthenticated Users como Autor/Administrador para cualquier tipo de web. Para eliminar efectivamente este grupo como administrador dentro de FrontPage, es necesario crear en el Administrador de Usuarios el grupo AUTHENTICATED USERS. Tras ello, se puede emplear Front Page 98 y eliminar este tipo de usuarios como administradores, ya que de otra forma es totalmente imposible. Tras proceder de esta forma, al abrir el sitio web desde una localizaci¢n diferente se pregunta por el nombre de usuario y password.
M s informaci¢n:
Packetstorm
http://packetstorm.securify.com/9912-exploits/frontpage.2000.txt
Antonio Ropero
antonior@hispasec.com
